要为桌面设备提供 SSO 和设备信任,需要在 Workspace ONE Access 中配置其他访问策略规则。

可以为 MacOS 和 Windows 10 创建将证书(云部署)和设备合规性作为身份验证方法的访问策略。

重要事项: 对于在 Okta 中配置了设备信任的应用程序,请不要使用设备合规性(与 AirWatch)身份验证方法。设备合规性身份验证方法与使用 Okta 设备信任的应用程序不兼容。

过程

  1. Workspace ONE Access 控制台中,选择资源 > 策略
  2. 单击添加策略
  3. 在向导的“定义”页中,输入以下信息。
    选项 描述
    策略名称 策略的名称。
    描述 策略的描述。
    应用于 选择 Okta

    这会将访问策略集分配给 Okta 应用程序源。Okta 应用程序的所有请求都会使用此策略规则集进行评估。

  4. 单击下一步
  5. 在“配置”页中,单击添加策略规则并为 Windows 10 配置策略规则。
    1. 并且用户访问内容来自列表中选择 Windows 10 作为设备类型。
    2. 身份验证方法设置如下:
      then perform this action: Authenticate using
      then the user may authenticate using: Certificate (Cloud Deployment)
      and: Device Compliance (with AirWatch)
      注: 如果配置了 Okta 设备信任,请不要使用设备合规性(与 AirWatch)身份验证方法,而是使用 Okta 身份验证作为回退身份验证方法:
      then perform this action: Authenticate using
      then the user may authenticate using: Certificate (Cloud Deployment)
      If the preceding method fails or is not applicable, then: Okta Auth Method
    3. 单击保存
  6. 单击添加策略规则,并为 macOS 配置策略规则。
    1. 并且用户访问内容来自列表中选择 macOS 作为设备类型。
    2. 身份验证方法设置如下:
      then perform this action: Authenticate using
      then the user may authenticate using: Certificate (Cloud Deployment)
      and: Device Compliance (with AirWatch)
      注: 如果配置了 Okta 设备信任,请不要使用设备合规性(与 AirWatch)身份验证方法,而是使用 Okta 身份验证作为回退身份验证方法:
      then perform this action: Authenticate using
      then the user may authenticate using: Certificate (Cloud Deployment)
      If the preceding method fails or is not applicable, then: Okta Auth Method
    3. 单击保存
  7. 由于此新策略会覆盖 Okta 应用程序的默认访问策略,因此,还要将 iOS、Android、Workspace ONE 应用程序或 Hub 应用程序以及 Web 浏览器的策略规则添加到新策略中,类似于之前添加到默认访问策略中的规则。
    1. 为 iOS 设备创建一个策略规则,并将移动 SSO (iOS) 设置为第一因素身份验证方法,将 Okta 身份验证设置为回退验证方法。
      If a user's network range is: ALL RANGES
      and the user is accessing content from: iOS
      then perform this action: Authenticate using
      then the user may authenticate using: Mobile SSO (iOS)
      If the preceding method fails or is not applicable, then: Okta Auth Method
    2. 为 Android 设备创建一个策略规则,并将移动 SSO (iOS) 设置为第一因素身份验证方法,将 Okta 身份验证设置为回退验证方法。
      If a user's network range is: ALL RANGES
      and the user is accessing content from: Android
      then perform this action: Authenticate using
      then the user may authenticate using: Mobile SSO (Android)
      If the preceding method fails or is not applicable, then: Okta Auth Method
    3. Workspace ONE 应用程序和 Hub 应用程序创建一个策略规则。
      If a user's network range is: ALL RANGES
      and the user is accessing content from: Workspace ONE App or Hub App
      then perform this action: Authenticate using
      then the user may authenticate using: Mobile SSO (for iOS)
      If the preceding method fails or is not applicable, then: Mobile SSO (for Android)
      If the preceding method fails or is not applicable, then: Okta Auth Method
      
    4. 为 Web 浏览器创建一个策略规则,并将 Okta 设置为身份验证方法。
      If a user's network range is: ALL RANGES
      and the user is accessing content from: Web Browser
      then perform this action: Authenticate using
      then the user may authenticate using: Okta Auth Method
      
  8. 按照从上到下的顺序排列策略规则。
    1. Workspace ONE 应用程序或 Hub 应用程序
    2. Windows 10 或 macOS
    3. Windows 10 或 macOS
    4. iOS 或 Android
    5. iOS 或 Android
    6. Web 浏览器